🔠 Онлайн-портрет становится все более важным критерием оценки при приеме на работу

💬 "Практически каждому пятому россиянину отказали в приеме на работу из-за содержания личных страниц в соцсетях. К таким выводам пришли эксперты проекта «HR Lab.— Лаборатория HR Инноваций» и платформы «Академия здоровья», исследовав влияние активности кандидатов в соцсетях на процесс трудоустройства. Многие работодатели просят соискателей представить адреса профилей еще до этапа собеседования. Онлайн-портрет сегодня является одним из инструментов для оценивания качеств потенциального работника, значение которого будет расти, подтверждают опрошенные “Ъ” эксперты."

➡️ Источник: https://www.kommersant.ru/doc/6295764?from=main

Для кого-то эта новость может показаться смешной (Как это так, еще есть какие-то компании, которые не используют в своей практике просмотр соцсетей кандидатов?), но это реальность. Я на практике неоднократно сталкивался с тем, что рекрутеры и HR очень разных компаний (даже очень крупных) в России вообще не понимают зачем смотреть соцсети, хотя, казалось бы.

Стоит сразу оговориться по нескольким моментам:

1️⃣ Исследование проведено на маленькой выборке - 1663 респондента, поэтому надо делать сильную скидку на фразу: "Практически каждому пятому россиянину отказали в приеме на работу из-за содержания личных страниц в соцсетях".

2️⃣ Естественно, анализ соцсетей - это дополнительный КОСВЕННЫЙ метод оценки и не основной. Но он очень показателен и информативен по многим вопросам. Бывает так, что иногда можно на некоторые вопросы касательно конкретного кандидата получить прямые ответы, а не косвенные.

#asc_обзор_новостей #asc_profiling #asc_osint

📱 Канал | 🌐 ВК | 🔷 Сайт

🔻 Сколько денег уходит на личную безопасность CEO в крупных международных компаниях

Вопрос про личную безопасность топ-менеджеров и CEO в крупных компаниях очень важен и сложен. В России в некоторых отраслях есть своя специфика:

💬 «Зачем мне вообще нужна охрана, в каком веке мы вообще живем, да и что со мной случится?»

Как бы странно это не звучало, есть довольно большой процент топов, которые считают личную охрану и все вытекающие из нее вещи - стеснительными, неудобными и ненужными. Самое частое возражение, с которым приходится сталкиваться: «Это стоит много денег, а смысла нет. Деньги на ветер.» CEO и топ-менеджмент - это часть КИИ любого бизнеса. Если с ними что-то случится, бизнесу будет очень плохо. Я уже не говорю о чисто человеческой стороне вопроса, потому что у всех есть семьи. Естественно, есть сферы, в которых топы таких вопросов не задают. Они просто знают, что это необходимость. Это не «блашь», а реальная часть BCP, которая прописана в учебниках по корпоративной безопасности везде.

Натолкнула меня на этот пост статья издания The Holywood Reporter. В ней как раз рассказывается о том, сколько крупнейшие международные комании тратят на личную безопасность своих CEO.

PS: в это понятие входит не только физическая охрана, которая ходит за тобой каждый день или возит твоих детей в школу, но и:
- проверка помещений перед переговорами или поездкой на частном самолете;
- периодический физ.пентест жилья на предмет уязвимостей, слепых зон камер и т.д.;
- безопасность цифровых устройств (личные гаджеты, домашний wi-fi и т.д.)
И многое другое…

➡️ Источник: https://www.hollywoodreporter.com/business/business-news/hollywood-ceo-perks-private-jets-free-internet-more-1235629498/

Спойлер: на Цукерберга в год уходит 25 $ млн. В 2018 эти же расходы на него компании обходились в 7 $ млн.

По некоторым рассказам коллег, в Китае вообще есть своя система подсчета бюджета на подобные мероприятия и цифры там кратно выше, чем у Цукерберга.

#asc_security #asc_обзор_новостей

📱 Канал | 🌐 ВК | 🔷 Сайт

👩‍💻 Российские IT-компании разработали концепцию отраслевого стандарта защиты данных

💬 «В Ассоциации больших данных (АБД), в которую входят крупнейшие российские IT-компании, разработали концепцию отраслевого стандарта защиты данных. В ней определяются надежные подходы к хранению и сбору данных, а также методики совершенствования системы информационной безопасности. Чем больше данных собирает компания, чем выше их значимость и чувствительность, тем серьезнее требования к инфраструктуре и её безопасности. Документ также предлагает прозрачный механизм добровольной оценки соответствия компаний новому стандарту.»

➡️ Источник: https://rubda.ru/association_news/rossijskie-it-kompanii-razrabotali-konczepcziyu-otraslevogo-standarta-zashhity-dannyh/

Хочется, сказать: «Наконец свершилось, начало положено!» Это очень хорошая новость в масштабах нашей страны. Если инициатива будет развиваться, у нас есть реальный шанс повысить общий уровень ИБ у бизнеса, потому что все начнут жить в рамках одной парадигмы (как с прохождением сертификации). Это также и для регулятора полезно: будет некий единый стандарт по которому можно оценивать уровень защищенности и, как следствие, в случае утечки вынести справедливое решение. Подобные инициативы в разы лучше в долгосрок, чем просто введение оборотных штрафов, имхо.

#asc_обзор_новостей #asc_hack_and_security

📱 Канал | 🌐 ВК | 🔷 Сайт

💜 «Яндекс» рассказал, как злоумышленники могут обманывать пользователей iOS 17

Опять слоупочные новости, как выражается Pandora, но лучше поздно, чем никогда.

💬 "Команда разработки автоматического определителя номера «Яндекса» обнаружила потенциальную уязвимость операционных систем Apple, которой могут воспользоваться мошенники.

Пользователи iOS 17 получили возможность настраивать постер контакта — устанавливать любое изображение, а также указывать свои имя и фамилию, которые видят другие пользователи операционной системы.

Сообщается, что именно этой функцией могут воспользоваться злоумышленники. Вместо имени и фамилии они могут написать любой текст: например, «Важный звонок из полиции» или «Служба безопасности банка». Так они подделывают привычные многим предупреждения от сервисов для определения номеров. Когда позвонят мошенники, пользователь увидит подсказку определителя, если их номер телефона есть в базе. Однако новые номера аферистов попадают в базы нежелательных контактов с некоторой задержкой."

➡️ Источник: https://iz.ru/1614271/2023-12-02/stalo-izvestno-o-novom-vide-mobilnogo-moshennichestva?main_click

Очень любопытная дырка, которая лишний раз доказывает аксиому: всегда нужно обновляться! Но если еще не обновились по каким-то причинам, то самый простой способ валидации такой: постер злоумышленников и реальное оповещение отличаются. У вас должно быть указано, какое именно приложение предоставляет информацию (как на фото выше). Если приложение не указано, значит это злоумышленники.

#asc_обзор_новостей #asc_hack_and_security

📱 Канал | 🌐 ВК | 🔷 Сайт

🏦 Банковская тайна в Швейцарии все

Я как обычно слоупок, так как новость прошла около недели назад, но тут есть о чем поговорить.

💬 "Если ранее считалось, что информация о счете в швейцарском банке доступна только клиенту и самому банку, то теперь из-за политики правительства по борьбе с отмыванием денег банки вынуждены следовать жестким правилам, в том числе и в отношении раскрытия информации о вкладчиках."

➡️ Источник: https://www.bloomberg.com/news/articles/2023-12-12/swiss-banking-secrecy-gone-now-reformers-are-targeting-legal-secrecy

Во-первых, стоит оговориться, что пока не ясно до конца, какие именно данные стали теперь публичными, за исключением реальных личностей владельцев организаций. Поэтому голословно говорить про полное отсутствие банковской тайны тоже не корректно.

Во-вторых, тут снова хочется вспомнить про крики о "Большом брате" и тотальной слежке. Швейцария немного пошла против тренда в этом кейсе: решила просто, чтобы "все знали всё о всех". При этом, даже повод нашли логичный - большое количество подставных компаний. Еще бы, ведь Швейцария всегда была одним из самых привлекательных мест для богатых людей со всего мира в контексте агрегирования своих ресурсов.

В целом, инициатива очень интересная. Не понятно, снизит ли это это количество подставных фирм, но понаблюдать будет любопытно.

#asc_обзор_новостей #asc_hack_and_security

📱 Канал | 🌐 ВК | 🔷 Сайт

📡 Дайджест последних новостей

Если вы подписаны на канал больше 1,5 лет, то помните, что раньше у меня была рубрика с обзором новостей за неделю. По фидбеку показалось, что она не особо интересна, поэтому я ее убрал. Но дело было, скорее, в ее частоте, а не в заинтересованности. Поэтому я подумал, что иногда такие посты будут, но максимально стихийно и по интересным поводам.

1️⃣ Объем утечек данных в новогодние праздники вырос на 10%

💬 "За время праздничных выходных дней в январе 2024 г. в сеть утекло 116,5 млн строк данных российских пользователей. Подавляющее большинство – 115,2 млн строк – из IT-систем финансового сектора, также пострадали сегмент телекома и IT-компании, ритейл и госсектор, рассказал «Ведомостям» руководитель сервиса мониторинга внешних цифровых угроз ГК «Солар» Александр Вураско."

➡️ Источник

Это к вопросу о том, что некоторые эксперты отмечали снижение утечек в последнее время. Речь тут идет про повышение на 10% по сравнению с аналогичным периодом 2024 года. И мне кажется, что рост обусловлен недавним массивным сливом Альфа Банка, об этом ниже.

2️⃣ Хакеры опубликовали данные 38 млн клиентов «Альфа-банка». Банк опровергает утечку

💬 "8 января 2023 г. в интернете была опубликована база данных клиентов «Альфа-банка». Хакеры, выложившие базу, сообщают, что получили доступ к персональным данным клиентов в октябре 2023 г. По заверениям группировки, в базе содержатся ФИО, дата рождения, номера телефонов, карт и счетов 38 млн уникальных физических и юридических лиц. Хакеры распространяют базу данных на своих интернет-ресурсах."

➡️ Источник

В очередной раз выбрана стратегия: "данные скомпилированы из других утечек и к нам отношения не имеют". Откуда там тогда номер счета и карты, непонятно. Как по мне, было ясно, что утечка действительно случилась еще в октябре 2023. Сейчас слили полный дамп, потому что все, кто смог с этого что-то поиметь, уже поимели.

3️⃣ На Reddit пользователь показал, как он обошел процедуру идентификации по фото

💬 "И вот на Reddit один пользователь показал, как можно использовать Stable Diffusion для обхода механизма KYC в различных дистанционных сервисах. ИИ-сервис генерации картинок позволяет создавать реалистичные фотографии людей, держащих документы, идентифицирующие их личность (тоже сгенерированные нейросетью), или листки с якобы рукописным текстом."

➡️ Источник

Совершенно очевидно, что это было просто вопросом времени. Видимо банкам придется массово улучшать софт по распознаванию дипфейков (уверен, что многие этим занимаются уже давно), потому что это реальная угроза.

PS: давайте поставим палец вверх, если такой формат постов (не часто) будет появляться в том или ином виде.

#asc_обзор_новостей

📱 Канал | 🌐 ВК | 🔷 Сайт

🤒 Искусственный интеллект обнаружил, что отпечатки пальца не уникальны

💬 "Исследователи из Колумбийского университета и Университета в Буффало совершили прорыв в сфере криминалистики, разработав систему искусственного интеллекта, способную связывать отпечатки пальцев одного человека, оставленные на разных местах преступления. Данное открытие оспаривает существующее предположение о том, что отпечатки разных пальцев одного человека уникальны и несопоставимы."

➡️ Источник: https://www.securitylab.ru/news/545136.php?ysclid=lrepfv1b2r739926244

📹 Как работает система: https://www.youtube.com/watch?v=s5esfRbBc18

Крайне интересная новость и исследование в целом. Если будет какая-то следующая итерация на еще большей выборке и результат будет похожим, тогда действительно можно будет сказать, что небольшая революция в криминалистике случилась. На мой взгляд, пока еще надо понаблюдать. Но даже уже сейчас система может помогать специалистам и сильно экономить время расследования (если только будет достаточная критическая масса данных для идентификации).

#asc_обзор_новостей #asc_criminal #asc_hack_and_security

📱 Канал | 🌐 ВК | 🔷 Сайт

🤡 Связь нарциссизма с мотивами бессмертия посредством создания цифровых аватаров

Хоть выборка и очень маленькая, но исследование интересное с точки зрения лучшего понимания нарциссического расстройства и "темной триады" в перспективе.

💬 "Группа израильских ученых, в числе которых Besser A., Morse T., Zeigler-Hill V., провела исследование связи черт нарциссической личности с желанием создавать цифровые аватары для себя и других среди 1041 человек. Результаты, представленные исследователями в International Journal of Environmental Research and Public Health, показали, что черты нарциссической личности связаны с боязнью смерти и желанием символического бессмертия через мотивацию к вечной жизни и поддержке других."

➡️ Первоисточник: https://www.mdpi.com/1660-4601/20/17/6632

➡️ Краткий пересказ на русском: https://psyandneuro.ru/novosti/digital-immortality/

#asc_статья #asc_profiling #asc_обзор_новостей

📱 Канал | 🌐 ВК | 🔷 Сайт

📡 Дайджест последних новостей

В этот раз снова про утечки и ответственность.

1️⃣ Цена безразличия: 510 млн записей ПД — билет в мир без конфиденциальности

💬 «Количество утечек персональных данных россиян продолжает расти. С начала 2024 года в Сеть попало более 510 млн записей, что в полтора раза больше, чем за весь 2023 год. Роскомнадзор бьет тревогу и призывает к ужесточению мер ответственности за подобные нарушения.

В 2023 году РКН насчитал 168 утечек персональных данных, в результате которых в интернете оказалось 300 млн записей. Суды рассмотрели 87 составленных ведомством протоколов и назначили штрафы на общую сумму более 4,6 млн руб. Однако, по мнению экспертов, эти меры не достаточно эффективны для предотвращения нарушений.»

➡️ Источник

Было бы странно, если бы количество утечек уменьшилось. Скорее всего, в ближайшие год-два (как минимум), нам это точно не светит. Ну и РКН говорит только про ужесточение ответственности за утечки, но ни слова про разработку мер по усилению ИБ и просвещению бизнеса в этом смысле. Замкнутый круг.

2️⃣ 10 лет без права: топ-менеджеров банков дисквалифицируют за утечки данных

💬 «В России собираются ввести специальные требования к квалификации и деловой репутации зампредов финансовых организаций, ответственных за информационную безопасность (ИБ). Законопроект, подготовленный при участии Банка России, есть в распоряжении «Известий». Сейчас он проходит процедуру межведомственного согласования, уточнили в ЦБ.

Документ предусматривает, в частности, повышение уровня персональной ответственности замглавы банка по ИБ за нарушения требований по защите информации, которые привели к утечке персональных данных или банковской тайны, сообщили в регуляторе. Документ касается не только банков, но также страховых компаний, пенсионных фондов и МФО.»

➡️ Источник

А вот это интересно. С точки зрения понятной мотивации, как минимум. Если топ-менеджмент заинтересован в ИБ, то это будет спускаться по всей вертикали.

#asc_обзор_новостей #asc_hack_and_security

📱 Канал | 🌐 ВК | 🔷 Сайт

💀 Все новое - это хорошо забытое старое

Начнем с небольшой преамбулы для демонстрации:

⚡️ "В Москве мошенники смогли под разными предлогами выманить у женщины более 162 миллионов рублей"

Аудитория у меня очень разная, но я люблю рассказывать про простые вещи тоже. Поэтому, раз до сих пор есть такие инфоповоды, давайте разберемся еще раз.

PS: акцент сделаем на схему "Следователь СК" в разных вариациях.

Покажите это вашим пожилым родственникам и освежите свою память тоже:

1️⃣ "Органы" не пишут в WhatsApp и не побуждают сразу к каким-то действиям. По телефону вас могут только уведомить о том, что вы обязаны по повестке явиться в отделение, не более.

Нужно задать всего один вопрос, если вы сомневаетесь: "Продиктуйте ваши фамилию, имя, отчество, служебный номер и должность. Я запишу и вам перезвонит мой адвокат." Реальные следователи будут обязаны вам все это сказать, хотя и без энтузиазма.

2️⃣ Видим аватарку в WhatsApp "Следственный комитет" или "ФСБ" - сразу блокируем номер, к телефону не подходим.

3️⃣ Обращаем внимание на акцент говорящего и скорость речи.

4️⃣ Официальные представители структур никогда не будут просить у вас какую-то личную информацию и особенно пароли из смс.

5️⃣ Может возникнуть вопрос: "А откуда же тогда эти следователи знают номер моего паспорта, полное ФИО, дату и год рождения и прочее? Только настоящие представители закона могут все это знать..."

Ну конечно нет. Сегодня все это может узнать любой школьник из-за огромного количества утечек и разных ботов в телеге.

6️⃣ В сотый раз повторю про психологию: если вас подгоняют, не дают подумать, пытаются напугать, всячески давят и далее по списку - это обман.

7️⃣ Не нужно бесить мошенников. Это опасно тем, что у вас потом начнутся проблемы, так как они в своей CRM сделают на вас "пометочку".

Ну и в конце в качестве домашнего чтения вот вам парочка полезных статей:

➡️ «Вы получили повестку о вызове на допрос!»

➡️ «Вызов свидетеля»

#asc_hack_and_security #asc_обзор_новостей

📱 Канал | 🌐 ВК | 🔷 Сайт

🇺🇸 ЦРУ меняет тактику: OSINT становится новым инструментом разведки

💬 "Американская разведка анонсировала новую стратегию по работе с информацией из открытых источников, намереваясь расширить и улучшить сбор и анализ данных на фоне непрерывно растущего потока информации.

В документе, представленном Управлением директора национальной разведки (ODNI) и ЦРУ, рассказывается о разработке методик сбора, создания и доставки разведданных из открытых источников (OSINT) до 2026 года. Несмотря на важность инициативы, конкретные детали четырехэтапной стратегии в докладе изложены лишь в общих чертах."

➡️ Источник: https://www.securitylab.ru/news/546685.php?r=1

После прочтения все-таки становится ясно, что речь идет про большее распространение OSINT в целом, но на всякий случай напомню, что OSINT как бы уже не один десяток лет является полноценной разведовательной дисциплиной.

Вот несколько примеров:

1️⃣ В 1947 году аналитик ЦРУ Шерман Кент утверждал, что: "политики получают из открытых источников до 80 процентов информации, необходимой им для принятия решений в мирное время."

2️⃣ В конце 70-х годов, генерал-лейтенант Самуэль Уилсон отмечал, что: "90 процентов разведданных приходит из открытых источников и только 10 — за счёт работы агентуры."

3️⃣ Бывший директор ЦРУ Р.Хилленкерта говорил, что: "80 % разведывательной информации получается из таких источников как книги, журналы, научно-технические обзоры, фотографии, коммерческих аналитических отчетов, газет, теле- и радиопередач..."

4️⃣ Адмирал Захариас, зам.нач.разведки ВМС США в годы Второй мировой войны говорил, что: "по его оценке 95% информации разведка военно-морских сил черпала из открытых источников, 4% – из официальных, и только 1% – из конфиденциальных источников."

#asc_обзор_новостей #asc_osint

📱 Канал | 🌐 ВК | 🔷 Сайт

👤 Обзор черного рынка “пробива” российских физлиц за 2023 год

С 2017 года ребята из Data Leakage & Breach Intelligence делают обзор отечественного рынка пробива по годам. Сейчас подъехал очередной, в котором есть несколько очень примечательных моментов.

➡️ Читать: https://dlbi.ru/illegal-search-in-bases-review-2023/

Лично меня заинтересовало 3 факта:

1️⃣ Стоимость "пробива мобильных операторов" выросла за год в среднем в 3,3 раза.

2️⃣ "Госпробив" (все по ГИБДД, "Магистраль", "Поток" и прочее) дешевле "банковского пробива" почти в 8 раз, хотя цена "госпробива" за последние 2 года увеличилась в 2,5 раза.

3️⃣ До сих пор самыми популярными остаются "государственный пробив" и "мобильный". Общая доля рынка "банковского пробива" сильно ниже.

На всякий случай напомню, что все это абсолютно незаконно. И для понимания, очень рекомендую обратить внимание в статье на графики. Там отчетливо виден рост цен за последние годы и связано это не только с инфляцией, но и с новыми рисками, с которыми сталкиваются недобросовестные сотрудники на местах (что хорошо). Достаточно посмотреть практику наказаний за незаконную передачу информации в последние пару лет.

#asc_обзор_новостей #asc_hack_and_security

📱 Канал | 🌐 ВК | 🔷 Сайт

🤒 В Госдуме одобрили проект о легализации деятельности белых хакеров

💬 "Комитет ГД по госстроительству рекомендовал Думе принять в первом чтении законопроект, направленный на легализацию деятельности "белых" хакеров в России.

Принятие законопроекта позволит проводить анализ уязвимостей в любой форме, без разрешения правообладателей соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов, отмечается в документах."

➡️ Источник: https://ria.ru/20240325/khaker-1935609669.html?ysclid=lu9lxv47qz929084371

Впервые о поправках в ст. 1280, ч.4 ГК РФ я услышал в декабре 2023. Я настороженно отношусь к таким изменениям, потому что первое впечатление может быть обманчиво из-за любви законодателей к перегибам и крайностям. Будем наблюдать. Если реализуют нормально - это будет просто прекрасно.

#asc_обзор_новостей #asc_hack_and_security

📱 Канал | 🌐 ВК | 🔷 Сайт

🧠 Первые попытки идентификации человека по мозговой активности

Что-то 2024 год богат на поиск новых решений в биометрии и идентифкации человека. Буквально в январе было интересное исследование, которое предварительно показало, что папиллярные узоры человека (отпечатки), возможно, не такие уж и уникальные, как мы считали десятки лет. Теперь еще и вот эта новость:

💬 "«Отпечаток мозга» по аналогии с отпечатком пальца научились делать российские ученые. В Институте проблем управления им. В. А. Трапезникова РАН провели исследование идентификации личности человека по активности головного мозга.

Как собирают электроэнцефалограмму: на голову пациенту надевают шапочку с электродами, каждый из которых нацелен на соответствующую зону мозга, отражающую слуховой, зрительный и другие потенциалы. Полученные данные электроэнцефалограммы мы представили в виде спектрограмм, отражающих особенность мозговой деятельности каждого участника эксперимента, а затем по ним обучали нейросеть идентифицировать наших добровольцев."

➡️ Источник: https://www.mk.ru/science/2024/04/02/unikalnoe-rossiyskoe-issledovanie-lichnost-cheloveka-opredelili-po-sile-ego-mysley.html?

Естественно, какие-то выводы делать очень преждевременно, но что-то мне подсказывает, что потенциал очень высокий. Пока что выборка смешная, но на больших величинах, скорее всего, процент идентификации будет в разы точнее.

Пока лично у меня возникают вопросы с интеграцией подобного решения и согласием людей на "обработку своих мозговых волн" (будет истерия), как бы страшно это не звучало 😁 Это же придется приравнивать к ПДн...или вообще массовое использование запретят. Очень интересно будет понаблюдать за развитием!

#asc_обзор_новостей #asc_hack_and_security

📱 Канал | 🌐 ВК | 🔷 Сайт

😟 В РФ хотят ввести статью за преследование

Немного запоздалая новость от меня (как обычно), но, при этом, очень важная. Я по работе сталкиваюсь с кейсами по сталкингу если не каждую неделю, то пару раз в месяц точно. Эти кейсы всегда очень непростые и не типовые. Будет супер круто, если статья появится и получится этот инструмент как-то использовать в работе.

💬 "Законопроектом подразумевается введение в КоАП отдельной статьи «Преследование». Под этим термином предлагается понимать систематическое совершение действий, направленных на причинение жертве нравственных страданий. Это может быть выражено, в частности, в направлении сообщений — по телефону, в соцсетях, письмах и др.

В правовом поле РФ защититься от преследователей пока непросто, отмечается в пояснительной записке. В действующем законодательстве нет прямой уголовной ответственности за травлю человека, а также отсутствуют меры, которые могли бы сдерживать сталкера."

➡️ Источник: https://iz.ru/1676516/natalia-bashlykova/v-podvorotne-vas-zhdet-koap-v-rf-khotiat-vvesti-statiu-za-presledovanie

Возможно, я когда-нибудь сделаю какой-то отдельный материал или доклад с чисто обезличенными кейсами из практики. Есть много чего рассказать.

#asc_обзор_новостей #asc_hack_and_security

📱 Канал | 🌐 ВК | 🔷 Сайт

🗄 Взломан сервис электронных подписей Dropbox Sign

Решил дождаться официального подтверждения от компании, которое было выложено 2 дня назад, прежде, чем что-то комментировать. Теперь можно.

💬 "По информации Dropbox, хакеры смогли на некоторое время получить доступ к платформе Dropbox Sign eSignature, токенам аутентификации, данным многофакторной аутентификации (МФА), хешированным паролям и информации о клиентах.

Сервис Dropbox Sign (ранее HelloSign) — это платформа электронной подписи, позволяющая клиентам хранить, отправлять и подписывать документы онлайн. Причём эти электронные подписи имеют юридическую силу."

➡️ Источник новости: https://habr.com/ru/news/811785/

➡️ Пресс-релиз от компании: https://sign.dropbox.com/blog/a-recent-security-incident-involving-dropbox-sign

Если вы пользовались сервисом, то новый пароль однозначно не должен быть похож на предыдущий (старый уже сбросили) и не забудьте сбросить токены двухфакторки, так как они тоже были скомпрометированы.

#asc_обзор_новостей #asc_hack_and_security

📱 Канал | 🌐 ВК | 🔷 Сайт

🧑‍💻🔥 "OSINT по взрослому"

Естественно, я не мог обойти стороной этот трек. В дискуссии поучаствовали даже представители регулятора.

➡️ Посмотреть можно тут: https://www.youtube.com/watch?v=A99jjSr8TB0&t=1s

Очень многие коллеги уже высказались на счет этого обсуждения, позволю и я себе вставить несколько мыслей:

1️⃣ Теперь мы знаем, что надо говорить не "осИнт", а "осЫнт". Записали, запомнили...

2️⃣ Оказывается по утечке "Еды", можно понять не только, что ест человек, но и где он живет. Записали, запомнили...

3️⃣ Еще мы с коллегами отметили, что все, о чем говорили уважаемые эксперты, мы делаем уже несколько лет и для нас "странно", что так не делают остальные адекватные компании. Особенно, это касается в части использования OSINT для выявления слабых мест сотрудников: вербовочные уязвимости, методы подстройки к ним, потенциальные сценарии социалки и многое другое.

4️⃣Больше всего подгорело лично у меня с подхода про "все запретить", особенно в тот момент, когда злоумышленники себе не будут ни в чем отказывать. Да, напрямую подобного сказано не было, но общий тон беседы был всем очевиден.

Самый адекватный комментарий я услышал от Бенгина: "Нельзя запрещать инструменты". Абсолютно полностью с этим согласен. Возможно, стоит создать экспертную группу, кто действительно разбирается в вопросе, раз уж мы хотим как-то зарегулировать эту сферу. А то получится, как всегда. Тут можно было бы порассуждать еще много о чем, но за меня это уже сделали некоторые другие каналы, поэтому поищите. Я, возможно, выскажусь на эту тему в виде полноценной статьи как-нибудь попозже.

#asc_hack_and_security #asc_обзор_новостей

📱 Канал | 🌐 ВК | 🔷 Сайт

🔺 Шадаев: процедуру выдачи займов на «Госуслугах» изменят из-за мошенников

💬 «Минцифры России планирует изменить на портале «Госуслуг» процедуру оформления займов в микрофинансовых организациях (МФО) для борьбы с мошенниками, которые выводят средства с помощью чужих учетных записей на свои счета.

От учетки "Госуслуг" можно подать все документы на получение кредита, но указать реквизиты банковской карты другого человека, дальше деньги прямо в заявлении выводятся, условно, на дропера, подставное лицо, – сказал министр.

Минцифры будет «закрывать эту опцию», и тогда получить кредит сможет «только то лицо, которое обратилось», пообещал глава Минцифры.»

➡️ Источник: https://www.vedomosti.ru/finance/news/2024/06/08/1042695-protseduru

Это просто шикарные новости! Много лет это является очевидной дыркой. В совокупности с инициативой самозапрета выдачи кредитов, это прямо сильно поможет снизить подобный вид мошенничества. Будем надеяться, что инициативу не похоронят.

#asc_обзор_новостей #asc_hack_and_security

📱 Канал | 🌐 ВК | 🔷 Сайт

🧑‍💻🔥 Понравившиеся мне доклады с PHD Fest 2 - часть 2

Прошло время, большинство докладов на фоне я наконец досмотрел, поэтому решил выложить вторую часть подборки. Важно: это мое субъективное мнение, так же, как и в первой части. У разных коллег на каналах есть подборки с другими докладами.

⬜️ Криптомошенничество: тренды, угрозы, кейсы, как уберечь себя и свой проект

⬜️ Служба безопасности банка, «черная пятница» и дипфейки: как нас обманывают в повседневной жизни

⬜️ Как нам стерли всю базу в Confluence и как мы героически ее восстанавливали

⬜️ Как меняется повестка топ-менеджмента под влиянием ИБ

⬜️ Как мы искали доказательства компрометации нашей сети

⬜️ Что вы знаете о своих подрядчиках

Ждем следующего года для новых подборок 😎

#asc_hack_and_security #asc_обзор_новостей

📱 Канал | 🌐 ВК | 🔷 Сайт